Instrukcja 27-28.06. 2012 r.

Warszawa. 26 czerwca 2012 r.
INSTRUKCJA WYJAZDOWA
DLA PRZEDSTAWICIELA POLSKI
na posiedzenie grupy roboczej Rady UE ds. Wymiany Informacji i Ochrony Danych
(27-28 czerwca 2012 r.)
Uzgodniona między następującymi instytucjami:
Ministerstwo Administracji i Cyfryzacji. Generalny Inspektor Ochrony Dan\ cli Osobowych.
Spraw
Ministerstwo
Sprawiedliwości.
Ministerstwo
Gospodarki.
Ministerstwo
Komunikacji
Urząd
Statystyczny,
Główny
Urząd
Wewnętrznych. Ministerstwo Zdrowia.
Elektronicznej. Stałe Przedstawicielstwo RP pr/v UE. Ministerstwo Spraw Zagranicznych.
Data poprzedniego posiedzenia grupy roboczej: 14-15 marca
Informacje na temat przedstawicieli Polski na posiedzenie
Imię i nazwisko/stanowisko:
lnstyiucjalkomórka organizacyjna:
Numer telefonu:
Adres e-mail:
Skład towarzyszącej delegacji:
Aleksandra Chmielecka. starszy” specjalista
Departament Społeczeństwa Informacyjnego.
Ministerstwo Administracji i Cyfryzacji
22 60-155-70
aleksandra.chmieleckWómac.goy.pl
Piotr Drobek. Zastępca Dyrektora Departamentu
Edukacji Spolecznej i Wspólpracy
Międzynarodowej. GIODC)
PORZĄDEK OBRAD
Approyal of the agenda
Debriefing on the negotiations in the Council of Europe Consullati%e Committee
of (be Conyention for the Protection of lndiyiduals with regard to Automaic
Processing of personal data IETS No. 1081 (T-PD), 28th Plenny meeting, 19-22
June 2012
L
Proposal fora regulation of the European Parliament and ofthe Council on the
protection of indiyiduals with regard to the processing of personał data and on the
free moyement of such data
Briefpresentation ofthe Presidency reyision regarding Articles I-9
I 1326/12 DATAIROTECT 75 JAL 423 MI 437 DRS 93 DAPIX 70 FREMP 93
COMJX 380 CODEC 1658 (to be issued)
-
Letter from the Chair of the Working Party on Statistics
10428/12 DATAPROTECT 65 JAI 360Ml 376 DRS 88 DAPIX 66 FREMP 80 STAT
19 COMIX 327 CODEC 1118
-
Article-by articie discussion (Articies 9 and following)
-
4.
Any other business
tnstucja wiod3ca: Ministerstwo Administracji i Cyfryzacji
Instytucje wspólpracujce: Generalny Inspektor Ochrony Danych Osobowych.
Ministerstwo
Gospodarki.
Ministerstwo
Sprawiedliwości.
Ministers(wo
Spraw
Wcwnętrzn\ch Ministerstwo Zdrowia. (iłówn) Urząd Statystyczn\. Urząd Komunikacji
Elektronicznej. Stałe Przedstawicielstwo RP prz\ UE. Ministerstwo Spraw Zagranicznych.
.
PUNKT 2 AGENDY
Debrieflng on the negońations in tlie Council of Europe Coosultatiye Committee
of Oie Conyention for the Proteetion of Indiyiduals with regard to Automatic Processing
of personał data IETS No. 1081 (T-PD), 2Sth Plenary meeting, 19-22 June 2012
-
Stanowisko Polski do zaprezentowania podczas posiedzenia:
Delegowany wysłucha sprawozdania z posiedzenia Komitetu W-D i umieści nąjważniejsze
wnioski w sprawozdaniu.
Dodatkowe elementy stanowiska do przedstawienia w razie potrzeby:
Delegowany poprosi Komisję o skonkretyzowanie i w\jaśnienie zidentyfikowanych do tej
pory zagrożeń związanych z brakiem zgodności zmienionych zapisów Konwencji Rady
Europ\ z obecnym i przyszlyin porządkiem prawnym UE.
Delegowany poprosi również Komisję o określenie hanionogramu dalszych prac
analitycznych nad kompatybilnością przepisów konwencji Rady Europ) i prawodawstwa UE
w t\in zakresie oraz koordynacji prac nad nową Konwencją Rady Europy i pakietem ODO.
Delegowany zwróci uwagę. że negocjacje zmiany Konwencji 108 znąjdują się w kompetencji
państw członkowskich.
PUNKT 3 AGENDY
Proposal for a regulation of the European Parłiament and of the Council on the
protection of indiyiduals with regard to the processing of personał data and on the free
moyement of such data
-
Briefpresentation ofthe Presidency reyision regarding Articies l-9
Stanowisko Polski do zaprezentowania podczas posiedzenia:
Delegowany wysłucha
sprawozdaniu.
prezentacji
PREZ
DK
i
umieści
najważmejsze
wnioski
\%
Dodatkowe elementy stanowiska do przedstawienia w razie potrzeby:
W razie dyskusji Delegowany zgłosi zastrzeżenie analityczne do przedstawionej propozycji
PRE7 DK.
-Y
Dodatkowe elementy wyl3cznie do wiadomości strony polskiej:
PREZ DK przygotowała materiał uwzględniający niektóre ze zgłoszonych przez państwa
członkowskie uwag do rozporządzenia.
Wprowadzone zmiany obejmują m.in. usunięcie ust. 3 z art. 1: zmianę art. 2 (2a)
poszerzenie katalogu wyłączeń ze stosowania rozporządzenia o krytcria takie jak:
bezpieczeństwo narodowe, obrona państwa. ochrona interesów ekonomicznych państw a kiedy
piielwarzanie danych wiąże się z ochroną bezpieczeństwa: zmianę definicji danych
osobowych pod kątem jej większej klaryilkacji: zmianę definicji danych genetycznych i
hiomerycznych. a także danych dotyczących zdrowia: rozbudowank i uszczegółowienie
definicji dot. głównej siedzib\: dodanie definicji osoby trzeciej oraz usługi społeczeństwa
inlormac)jnego: rozszerzenie w art. 6 katalogu zgodności z prawem przetwarzania danych o
przypadku określone w an.9 (2) (bkU) oraz art. 80-85.
-
Przedstawiciel PL na posiedzeniach DAPIX 23-21 lutego oraz M-15 marca 2012 r. w
odniesieniu do art. ł-9 zgłaszał następujące uwagi:
1
Art. 6 ust. 1— należy rozważyć cz\ bardziej liberalne podejście do kwestii zmiany celu
jest w pełni uzasadnione. Być może dotychczasowe rozwiązania powinn\ zachować
swoja aktualność.
2. / satysfakcją należy przyjąć propozycję brzmienia art.? ustępy od 1 do 3.
3. Wątpliwości natomiast budzi treść art. 7 ust. 4. Zdaniem PL należy wyjaśnić co
legislator rozumie pod pojęciem ..pouażnej nie;”ównośei mięchu podnimfem durne/z
a ad,ninist;otorenP. Wprawdzie wyjaśnia się, że głównie chodzi o sytuację
pracownik-pracodawca. natomiast nie jest to jedyna sytuacja regulowana tym
przepisem. Pożądanym rozwiązaniem wydaje się być zaproponowanie przykładowego
katalogu takich przypadków regulowanych przepisem.
4. Wątpliwość budzi treść art. 8 ust. I. Zdaniem PL jest nie do końca jest jasne. w jaki
sposób usługodawca oferujący usługi ma wiarygodnie identyfikować dziecko. Wydaje
się. że taki wymóg ciążący na administratorze danych. może w praktyce być
niemożliwy do zrealizowania. Wątpliwości budzi czy administrator danych jest
upraw mony do wer} żikacji dokumentów rodzicow dziecka. Zdajemy sobie sprawę z
[aktu, iż rozstrzygnięcie tej kwestii może powodować trudności, natomiast w związku
z t\m PL pragnie zwrócić się do KL / prośbą o w\jaśnienie. czy doprecyzow anie w
tym zakresie będzie również przedmiotem regulacji aktu delegowanego z art. 8 ust. 3.
W tym kontekście podobną uwagę poczynić należy do art. 8 ust. 4. zgodnie z którym
KE może ustanowić wzory możliwej do weryfikacji zgody. Wyjaśnienia również
wymaga jakie zasady będą miały zastosowanie do zgody dzieci w odniesieniu do
przetwarzania danych poza obszarem usług społeczeństwa intonnacjnego. Na
marginesie rodzi się pytanie do KE o ratio legis wodręhnienia kategorii dziecko.
zgodnie z Konwencja oprawach dziecka w sytuacji. gdy szczególne regulacje odnoszą
się tylko do dzieci w wieku do 13 lat.
5. Uwaga do art. 9 ust. 2:
3
W zwiwku ze stosowanym sformułowaniem ..interes publiczny” pojawia się
%ątpliwość. czy w związku z faktem, iż w prawach narodowych państw
członkowskich termin ten może być rozumiany odmiennie, przesłanki legalności
przetwarzania szczególnych kategorii danych osobowych mogą w związku z tym
równicż się różnić.
Biorąc pod uwagę powyższe PL pragnie poddać pod rozwagę
KL zasadność i ewentualne podjęcie prac nad próbą doprecyzowania tego terminu.
Niezależnie od powyższego PL zwraca się z prośbą o wyjaśnienie powodu wyłączenia
z katalogu danych wrażliwych (.„offences”) zestawiając brzmienie art. 9 ust. 2 pkt])
projektu rozporządzenia z art. S ust. 5 obecnie obowiązującej dyrektywy.
—
Dodatkowo w przekazanych do PREZ DK pisemnych uwagach PL wskazywała na
stwierdzenia budzące wątpliwości interpretacyjne, wymagające doprecyzowania. takie jak:
definicja danych osobowych (sformułowana zbyt szeroko, nie powinna zawierać odwołań do
podmiotu danych osobowych). definicja naruszenia danych osobowych. definicja danych
hiometrycznych, określenie terminu zakład/siedziba, wymienne stosowanie pojęć s/at/st/cal
Fesearch oraz stai/st/cal putposes. \kyłączeń w przetwarzaniu danych do cetów
staiystycznych. wymogu pozyskiwania zgody podmiotu danych na przetwarzanie danych
osobowych.
PL zwróciła się ponadto z pytaniem, czy Komisja analizowała wpływ. jaki rozszerzenie
definicji danych osobowych będzie wywierać na sposób prowadzenia działalności
telekomunikacyjnej przez przedsiębiorców telekomunikacyjnych oraz innej działalności
prowadzonej w łntcrnccie.
-
Letter from the Chair ofthe Working Party on Statistics
Stanowisko Polski do zaprezentowania podczas posiedzenia:
Odnosząc się do zaproponowanych przez Przewodniczącego grupy roboczej ds. statystyki
zmian Delegowany wyrazi opinię, że rozumiejąc powody zgłoszonych uwag i potrzebę
wyłączeń xy niektórych przypadkach do celów statystyki należy wziąć je pod uwagę w trakcie
dalszych prac z równoczesnym rozważeniem ich konsekwencji i oceną proporcjonalności.
Decyzja o ich uwzględnieniu bądź nieuwzględnieniu powinna zostać poprzedzona pogłębioną
analizą.
Detegowany już na tym etapie może poprzeć zmianę. by art. 14 ust. 5 lit b) otrzymał treść:
..dane nie są zbierane od podmiotu danych a udzietenie tych informacji. w szczególności w
szczególności gdy są przetwarzane dla celów historycznych, statystycznych lub badań
naukowych. okazało się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku”
Uzasadnienie:
W wyjątkach do obowiązku informowania osoby. której dane dotyczą dodano przcpis
odwołujący się wprost do statystyki. Obecnie xy Rozporządzeniu napisano: dane nie są
zbierane od osoby. której dane dotyczą a udzielenie tych informacji okazało się niemożliwe
lub wymagałoby niewspółmiernie dużego wysiłku. Propozycja brzmi: ..dane nie są zbierane
od podmiotu danych a udzielenie tych informacji. w szczególności w szczególności gdy są
przetwarzane dta celów historycznych. statystycznych lub badań naukowych. okazało się
niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku
4
W dyrektywie 95/46 (art. 11 ustęp 2) znajduje się taki przepis: Ustęp I nie lnu zastosowania w
przypadku gdy. szczegótnie w przypadku przetwarzania danych do celów statystycznych.
historycznych luh naukowych dostarczenie takich informacji wymagałoby niewspółmiernie
dużego wysiłku lub jeżeli gromadzenie lub ujawnianie informacji jest wyraźnie przewidziane
przez prawo. W takich przypadkach Państwa Czionkowskie zapewniają odpowiednie środki
zabezpieczające.
Dclcgowan\ wyrazi również opinię, że w odniesieniu do statystyki publicznej art. 19 nie
będzic miał zastosowania, gdyż te dane są przetwarzane na podstawie przepisów prawa.
Dlatego nie ma potrzeby dodawania do art. 19 nowego paragrafu: (Prana listanoliione w
cni. /9 uje J/JOlą :ntosaitanuz grA cicuze są zbierauze jecbnie ćlo celon historycznych,
stafl”snc:,n”cii lub badań umu,ko”.i”t”ch oraz s”pebuouw ScJ tyJnagcmia art. 83 (iri,”. J
Delegowany zada rów nicż pytanie dotyczące hierarchii aktów praw nych. Należy
zauważyć. że delegowanie uprawnień w zakresie statystyki. w art. 83. bLtdzi wątpliwości
odnośnic hierarchii aktów prawnych UE. Kwestie statystyki regutowane są bowiem przez
rozporządzenie 223/2009, które jest w tym zakresie dokumentem ramowym wynikającym z
att 338 TEUI.
Czy wyłączenia odnoszące się do statystyki w rozporządzeniu ODO dotyczą jedynie
statystyki publicznej czy też stosują się do wszystkich innych celów i metod statystycznych?
Nie jest również jasne. dlaczego w projekcie rozporządzenia stosuje się wymiennie statis/icy/
research oraz sint/st/cal pioposes
Dodatkowe elemenly wylcznie do wiadomości strony polskiei:
List przewodniczącego grupy roboczej ds. Statystyki zawiera propozycje zmian do
rozporządzenia zgłoszone przez narodowe urzędy statystyczne w raiTnich Europejskiego
Systemu Statystycznego.
Zaproponowane zmiany obejmują m.in. art. 14-16 oraz art. 18-19 i za\ierają wyłączenia w
realizacji przewidzianych w ww. artykułach praw podmiotów danych w przypadku gdy dane
są przetwarzane wyłącznie do celów historycznych. statystycznych lub naukowych i gdy
spełnione są przesłanki przewidziane w art. 83 ust. 1 (a) (.„W granicach niniejszego
rozporządzenia można przetwarzać dane osobowe do celów dokumentacji. statystyki i badań
naukowych jedynie wtedy, gdy nie można ich inaczej osiągnąć przez przetwarzanie danych,
które nie umożliwia lub przestaje umożliwiać identyflkację osoby, której dane dotyczą).
Proponowane zapisy to: Franci ustanowione t aul. /5 /6 /S”J9 nie mają zastosoit cm/a gdy
ciaze są zbierane jcdyizw do celów hisrouyc:nyciz. starysn”czun”ch hub bać/ań naukrn tych oraz
spel”uione są ui”;uzagauna rit”t. 83 (L-Li
Oceniając zaproponowane zmiany można ocenić, że w znacznej mierze wykracząją (art. 14
(SA). ar. 15. art. 16) one poza uregulowania przyjęte obecnie xy Dyrekt\wie (obecny przepis
art. 13 ustęp 2) dyrektywy: Z zasirzeżenien; obowiązku znpetuuienia odpo1%/c”dnieo stopnia
ochrom” prrninej, w szczególności, a/n dane nie bib” iiiko;”zish”u”ane do podejmowania
cizia/ań lub decyzji donyzącuch konkretnych osób, Fańsnia Czlonkoitskie mogą u pi”zrpadku
gdy itirańnie nie itistępuje nn*o naruszenia pnąratności osoby, której c/one c/o/uczą,
ograniczi”ć przy pomocy środków legis/ac ijmch prana przewidziane u art. 12, gdy dane są
przetwarzane wyłącznie do celów badań naukonych lub przechoiniiane są w” formie
osohtstej przez okres nie przekraczający okresu koniecznego ni łącznie u celu sporządzenia
stah”shk.) Zaproponowane wyłączenia można uznać za zbyt daleko idące ograniczeme praw
osoby. której dane dotyczą i ograniczenie np. art. 51 Konstytucji) szczególnie xy kontekście
celów naukowych i historycznych.
Zmiany w art. 18 wymagają dalszego przeanalizowania. W dyrektywie brak jest przepisów w
tej kwestii.
Zaproponowane zmiany obejmują również art. 83 (Przetwarzanie do celów dokumentacji.
statystyki i badań naukowych) i polegają na dodaniu nowego ustępu: Przepisu oraz
n”i”lączenia c/Iti celóii historycznych. stan”sgrcznych oraz badań naukon ich u granicach
niniejszego rozporządzenia poiiinm” bić stosoiiane jedynie pod następująci”mi warunkami:
a) c/one c/oti”czące jakiekolwiek konkretnej jednostki nie są pm”zehiarzane aby iispierać środki
lub decyzje jej donczące, oraz hj dane nie są przetwarzane u laki sposób a/n pon odouiah
lub mogh” spouiodować znaczną szkodę lub znaczne niehezpieczeńsnio (cierpienie).
Skasowanie ustępu (b) art. 83: W granicach niniejszego rozporządzenia można przetwarzać
dane osohcnie c/o celów dokwnentacji, sta/ysh*i i badań naukourychjedunie iitedi”, gcb: W
nie mnożna ich inaczej osiągnąć przez przeniarzanie danych, które nie wnożliuiia lub przestaje
munożlhtiać identyfikację osoby, której dane dotuczą; bj dane un,ożliutiajqce przypisanie
informacji do zidenn/ikowane/ podmiotu damiuch lub do zidentyfikowania, są przechminiane
oddzielnie od innych informacji, tak długo jak cele te można osiągnąć ii ten sposób.
Zaproponowane zapisy w ai-t. 83
przepisy o ochronie danych.
-
są zbyt ogólne. niedookreślone i wyłąeząjące w istocie
Article-by article discussion (Articles 9 and following)
Stanowisko Polski do zaprezentowania podczas posiedzenia:
Uwa%i oólne:
Delegowany zwróci się z prośbą do Komisji o przedsla\\ienie modelowych kosztów
wdrożenia rozporządzenia dla przedsiębiorstw. (a w szczególności dla MSP).
Kosiły oszacowane w impact assessment nie odpowiadąją na pytania zgłaszane przez biznes
w odniesieniu do implementacji wielu nowych zasad i rozwiązań i związanych z tym
kosztami.
Uwai szczeEółowe:
Art. 9 (Przetwarzanie szczególnych kategorii danych osobowych)
Delegowany wskaże, że katalog danych szczególnie chronionych dot. orzeczeń został zbytnio
zawężony w ust. 1 poprzez wskazanie wyroków skazujących lub powiązanych środków
zabezpieczających. Oznacza to. iż na gruncie nowych nnijnych regulacji do kategorii danych
6
wrażliwych nie będą zaliczane np. dane dotyczące orzeczeń wydanych w postępowaniu
administrac\jnym (należą one do danych wrażliwych w obowiązującym prawie polskim >-jak
również orzeczeń wydanych \% postępowaniu karnym, które nie są wyrokami skazującymi.
np. warunkowego umorzenia postępowania. tymczasowego aresztowania.
Delegowany wyrazi uznanie, że xy zaproponowanych przez PREZ DK zmianach do katalogu
dainch szezegolnych włączono informacje o przestępstwach (of%ncesi
łiezależnie od powyższeo ze względu na formę aktu jakim będzie Rozporządzenie wxdaje
się. że pojęcie ..powiązanych środków zabezpieczających powinno być doprecyzowElne
Art. 10 (Przetwarzanie nie umożliwiające identyfikacji)
Delegowany zwróci się z zapytaniem o zakres i cel stosowania przepisu w kontekście
definicji dainch osohow\ch. W odniesieniu do jakich sytuacji przepis może mieć
zastosowanie?
Uzasadnienie:
Art. 10 budzi wątpliwości w kontekście bardzo szerokiej definicji .i/aniyh osobowych”.
Trudno odnaleźć relację tych dwóch przepisów. skoro za dane osobowe należy w świetle
brzmienia art. I pkt. 2 uznać wszelkie informacje dotyczące podmiotu danych osobowych.
literalna wykładania przepisu ai-t. 10 wskazuje. że jeśli jakiekolwiek dane osobowe
przetwarzane przez administratora danych nie umożliwiają mu identyfikacji osoby fizycznej,
administrator nie ma obowiązku uzyskania dodatkowych informacji w celu identyfikacji
podmiolu dan) ch wyląe,nic ze względu na konieczność respektowania przepisu
rozporządzenia. Oznacza. to. że dc flcto definicja danych osobowych nic wydaje się tak
szeroka, jak wynikać to może z przepisu art. 4 pkt. 2. gdyż dotyczy nie wszelkich danych
dotyczących podmiotu. ajedynie takich. które umożliwiają identyfikację podmiotu danych.
Należy w\jaśnić sens przepisu i zakres jego stosowania. Należałoby przyjąć, że ma on
zastosowanie w sytuacjach, gdy administrator ma do czynienia z danymi. które mogą nie
identyfikować podmiotu danych bezpośrednio. co ma w szczególności miejsce w środowisku
telekomunikac\jny”m (tiret 21).
Art. Ił (Przejrzysta informacja i komunikacja)
Delegowany wskaże, że PL popiera potrzebę zapewnienia przejrzystości i czytelności
komunikatów i informacji kierowanych do podmiotu danyck Biorąc jednak pod uwagę
problemy, jakie mogą się pojawić w związku z niedookreślonym charakterem pojęć takich jak
np.: przejrzystość. czytelność, jasny język i jednocześnie uznąjąc potrzebę efektywności
stosowania przepisów. PL zasugeruje rozważenie dodania zapisu stanowiącego. że wytyczne
w tym zakresie będą przedmiotem prac Europejskiej Rady Ochrony Danych.
Uzasadnienie:
Kryteria przejrzystości i łatwej dostępności informacji, które powinien zapewnić
administrator danych mogą budzić pewne wątpliwości. Nie jest jednak możliwe
7
zdefiniowanie tych kryteriów na poziomie rozporządzenia. dlatego też dobrym rozwiązaniem
będzie. jeśli wytyczne w tej sprawie opracuje Europejska Rada Ochrony Danych. Mechanizm
weryfikacji realizacji zobowiązań administratorów określonych xy art. II zapewnia również
art. 79 ust. 5 lit. a) (sankcje dla administratora, który nie dostarcza informacji w
wystarczająco przejrzysty sposób). Ponadto. att. II należy rozumieć jako zasadę ogólną dla
kolejnych artykułów określąjących sposób wykonywania przez administratora praw
podmiotów danych.
Art. 12 (Procedury i mechanizmy wykonywania praw przez podmiot danych)
Art. 12 ust. 4 PL pozytywnie prz)jmuje model, zgodnie z którym. co do zasady realizacja
prawa dostepu jest bezpłatna. Jednakże konieczne jest w\ważenie interesów i w prowadzenie
mechanizmów chroniących administratorów przed cwemualnxmi nadużyciami. Istnieje
potrzeba doprecyzowania kr\ terów i warunkow wyraźnie przesadnego charak[eru wniosków
na poziomie rozporządzenia.
—
Dodatkowe infhnnacje do wiadomości strony polskjj:
Polska ustawa o ochronie danych osobowych (art.32 ust.5) zawiera przesłankę upływu czasu
(osoba zainteresowana może skorzystać z prawa o inFormacji nie częściej niż raz na 6
miesięcy).
PL wnioskuje o ykrcśIenie art. 12 ust. 5. W opinii PL akty delegowane w tym przypadku są
rozwiązaniem zbyt da[cko idącym. Kryteria przesadnego wniosku powinny być określone na
poziomie rozporządzenia jedynie takie rozwiązanie zagwarantuje pewność prawną
—
Art. 12 ust. 6 PL poz\ t\ wnie prz\jmie możliwość przsjęcia ujednoliconego formularza w
formie elektronicznej
-
Art. 13 (Prawa odbiorców)
Wątpliwości PL budzi w\jątek od ogólnego obowiązku informowania przeł administratora.
Zdaniem PL konieczne jest wyjaśnienie na poziomie rozporządzenia. co należy rozumieć pod
pojęciem ..niewspóbn lenne dużego n”s//ku”. W przeciwnym razie przepis może dawać
podstawę do unikania wykonania obowiązku inlbrmowania.
Art. 14 (informacje przekazywane podmiotowi danych)
art. 14 ust. 5 lit. b) i ust. 6 PL zgłosi wątpliwość odnośnie zapisu: Utępów I-4 nie stosuje
się. u p;”apadku gu”y: b) (lanc nie są zbierane od podmiotu danych a udzielenie tych
-
inJorniacji okazało się niemożliwe lub wymagałoby niewspółmiernie dn żego wysiłku
PL zapyta się, na cz\ in tniałah polegać ochrona słLLszflyCh interesow? (ust.6)
Podobnie jak w przypadku art. 13 delegat zwróci się o doprecyzowanie .Jiiewspo/uitenzie
dużego wisi/kić”.
„.
Art. 15 (Prawo dostępu przyslugujęce podmiotowi danych)
Art. 15 ust. 1 h)
Delegowany zwróci się z zapytaniem o w\jaśnienie tego zapisu. Cz\
chodzi w tym zakresie o logikę przetwarzania dan3ch w celach protilowania?
--
8
Art. 16 (Prawo do
poprawienia)
Dctegowany zasugeruje, aby z uwagi na różne systemy prawne w P.c,L KE dopro\%adiiła do
ich harmonizacji na poziomie rozporządzenia lub za pomocą aktu delegowanego.
Uzasadnienie:
Takie rozwiązanie pozwoli Lifliknąć istniejących między państwami członkowsktmt różnic w
zakresie np. tenińnu na poprawienie danych przez administratora.
Art. 17 (Prawo do bycia zapomnianym i do usunięcia danych)
Delegowany przedstawi wątpliwości odnoszące się do Art. 17:
Delegowany zwróci się z zap\taniem. czy art. 17 ma charakter klauzuli generalnej czy
proccdur\ ?
-
Uzasadnienie:
W przypadku charakteru klauzuli generalnej to akty detegowane
jeśli charakter proceduralny akty delegowane są dopuszczone.
są niewskazane natomiast
—
W zależności od odpowiedzi Komisji na 1-sze pytanie Delegowany przedstawi wątpliwości
PL o nieuzasadnionym stosowaniu aktów delegowanych. (Po raz kolejny kwestie o
zasadniczun znaczeniu z punktu \udzenia realizacji prawa do bycia zapomnianymi i do
usunięcia danych przez podmiot danych. tj. knieria i wymogi w poszczególnych sektorach
oraz w szczególnych syttiacjach przetwarzania danych czy też warunki usuwania linków do
danych kopii lub replikacji danych osobow3ch z publicznie dostępnych usług łączności. o
których mowa w ust. 2. zostały przekazane Komisji Europejskiej do uregulowania w tormie
aktów delegowanych zgodnie z art. 86 Bez znajomości całości przepisów składających się na
ww. prawa nie sposób jest w pełni odnieść się do tej problematyki.
-
Realizacja prawa do bycia zapomnianym może nastręczać pewne trudności techniczne.
zwłaszcza gdy mowa o przetwarzaniu danych w środowisku internetowym, które z natury
umożliw ja dokonywanie nieskończenie wiciu różnych operacji na raz wprowadzonych
danych
—
w przypadku gdy podaje on dane osobowe do
Nalożenie na administratora danych
wiadomości publicznej i w odniesieniu do danych. za których publikację odpowiada
obowiązku poinformowania osób trzecich przetwarzających takie dane, iż podmiot danych
wnioskuje o usunięcie linków do danych. kopii lub replikacji tych danych osobowych. może
doprowadzić do sytuacji zgoła odwrotnej. tj. do przypomnienia o konkretnym podmiocie
dan\ch podmiotom, które incydentalnie i w związku z jednorazową Potrzebą te dane
pozyskały. Paradoksalnie zatem możliwy jest scenariusz, iż ..osohy trzecie” (których na
-
—
—
-
9
domiar projektodawca nie definiuje)
nie przetwarząją już danych osobowych podmiotu
danych lub otrzymały odrębny sprzeciw podmiotu danych wobec przetwarzania dotyczących
ich danych. w związku z czym powstaje pytania o celowość takiego informowania, które
służyć przecież powinno ochronie praw podmiotu danych.
—
Nic jcst jasne. jak projektodawca unijny
wobec braku mechanizmu egzekwowania
dziaŁania od osób trzecich widzi możliwość efektywnej realizacji praw podmiotu danych.
-
—
—
Nie jest jasne. w jaki sposób wobec braku mechanizmu egzekwowania działania od osob
trzecich będzie możliw:a realizacja art. 13. któn nakłada na administratora danych wymóg
pointornowania każdego odhiorc, któremu ujawniono dane. o wszelkich operacjach
poprawienia lub usunięcia dokonanch zgodnie z art. lb i 17
chba że okaże się to
niemożliwe lub będzie wYmagać niewspółmiernie dużego wysiłku.
—
—
-
.
W art. 17 ust. 3 lit. b) należy doprecyzować sformułowanie .ąmh/ic hecddP. Jednocześnie
PL zwraca się z prośbą O wyjaśnienie relacji tego przepisu do przepisu art. 2!.
-
Art. 18 (Prawo przenoszenia danych)
Brak uwag
Art. 19 (Prawo wniesienia sprzeciwu)
art. 19 ust. 1
Delegowany poprosi o doprecyzowanie w motywie pojęcia ..u”a±nyclz / „:aad;7;on,oln”ch
poć/s/cm pr:ehtarzanźa, któ;”e moją charakret nodrzęcim” iiobec interesów hib podslallO1Ii”ch
pron” i ilOhZOSci podmiotu dam cli”
Delegowany poprosi o dodanie w art. 19 informacji, że podmiot danych ma prawo wniesienia
sprzeciwu wobec przetwarzania danych osobowych nieodpłatnie. Taka informacja jest
zawarta w ust. 2. brakuje jej natomiast w ust. I.
Art. 19 ust. 2
Delegowany poprosi o zdefiniowanie w motywie pojęcia ..morkenng bezpośm”echzi” (czy
naleŻy to rozumieć jako wyłącznie marketing bezpośredni dLa celów komerc\jnych czy też
chodzi o marketing bezpośredni dotyczący jakiegokolwiek aspektu (politycznego.
społecznego. czy dotyczącego kultu religijnego etc.)?
Art. 20 (Środki oparte na profiiowaniu)
Art. 20 ust. I
Delegow any poinformuje, że PL w yrazi obawę, że definicja środków opartych na
profilowaniu jest zbyt zawężająca (odnosi się jedynie do środków wwoŁujących skutki
prawne lub mąjących istotny wpływ). Delegowany zaznaczy, że pojęcie ..istotny wpŁyw jest
pojęciem nieostnin i może prowadzić do naduż ć ze strony podmioów susucych środki
prolilowania. Wydaje się. że w kontekście coraz powszechniej stosowanych praktyk
IQ
prohiowanta. w odniesieniu np. do reklamy behawioralnej. del5nicja profltowanta pow inna
być szersza.
Uzasadnienie:
Detnicja środków opartych na profilowaniu zgodnie z którą są to środki, które m.in.
wywoluią skutki prawne dotyczące tej osoby fizycznej budzi wqtpliwoścL Jakie ujęcie
sugeruje niebezpieczne zawężenie stosowania regulacji dotyczących profilowania
przyznających osobom Fiz”cznym. co do zasady, prawo niepodłegania środkom na nim
opar ych do sytuacji, gdy wpływ środków na nim opartych. jest wywierany w sferze praw i
obowiązków osób. Projektodawca unijnx zosiawia co prawda pewien margines. w ramach
którego za środki oparte na proWowaniu mogą zostać uznane środki inne niż wywołujące
skutki prawne. wskazując w dalszej kolejności. iż są nimi także środki mające istotny wpływ.
Jednakże wyoce wątpliwe jest. czy przy tak nieostro sformulowanym kryterium
zakresem regulacji zostaną
sugerującym szerokie możliwości zróżnicowanej wykładni
objęte znaczące przypadki stosowania mechanizmu profilowania, istotne w potocznym
rozumieniu (jak np. dobieranie konkretnych przekazów reklamowych). Powyższe skłania do
postawienia pxtania. czy nacisk na skutki prawne wywołane profilowaniem stanowić
powinien istotę regulacji mającej odpowiednio ident) fikow ać to zjawisko i stwarzać
odpowiednie gwarancje ochrony przed jego swobodnym rozprzestrzenianiem się.
—
—
—
—
Art. 21 (Ograniczenia)
PL poprosi o wjaśnienie. jak do celu hannonizacji przepisów z zakresu ochrony danych
osobowych na się przepis art. 21. umożliwiający KE lub państwom członkowskim
ograniczenie zakresu obowiązków i praw przewidzianych w att 5 pLmnkty od a) do c). ami. II20 i art. 32, gdy takie ograniczenie stanowi konieczny i proporcjonalny środek w
demokratycznym społeczeństwie. służący określonym w przepisie celom. Daje on bowiem
możliwość dokonania bliżej nieokreślonych odstępstw w prawach narodowych każdego z
państw ezlonkowskich w zakresie zasad przetwarzania danych osobowych (art. 5). praw
odbiorców, informacji dla odbiorców. czy w końcu prawa do bycia zapomnianym (co ma
aspekt ponadnarodo\yy i transgraniczny). Jakie przepisy narodowe będą sWsowane w takich
sytuacjach?
Art. 22 (Odpowiedzialność administratora)
Brak uwag
Art. 23 (Uwzględnienie ochrony danych już w fazie projektowania oraz ochrona danych
jako opcja domyślna)
Art. 23 ust. 3 Delegat zwróci się z prośbą o doprecyzowanie. co mialoby znajdować się w
akcie wykonawczym
—
Art 24 (Współadministratorn)
Brak uwag
II
Art. 25 (Przedstawiciele administratorów nie mających siedziby n Unii)
Brak uwag
Art 26 (Podmiot przetwarzający)
Brak uwag
Art. 27 (Przetwarzanie z upoważnienia administratora i podmiotu przetaczającego)
Brak uwag
Art. 28 (Dokumentacja)
art. 28 ust. I z uwagi na możliwą ilość dokumentacji. Delegat zasugeruje wprowadzanie
zapisu wskazującego. że dokumentacja może być prowadzona w formie elektronicznej.
-
art. 28 ust. 4 lit. b niezbędne wydaje się. w celu uniknięcia wątpliwości interpretacyjnych.
doprecyzowanie ..działalności pobocznej”.
—
tjzasadnienie:
Przykładowe problemy interpretacyjne mogą mieć miejsce w przypadku świadczenia usług
premium i zaangażowania w procesie ich świadczenia integratorów i agregatorów. Z tego
powodu podobne problemy interpretacyjne dotyczyć mogą całego coraz bardziej
konwergentnego rynku usług telekomunikacyjnych i społeczeństwa informacyjnego.
Art 29 (Wspólpraca z organem nadzorczym)
Brak uwag
Art. 30 (Bezpieczeństwo przehyarzaiiia)
Brak uwag
Dodatkowe elementy stanowiska do przedstawienia w razie potrzeby:
Delegowany poruszy temat definicji zaproponowanych w projekcie. o ile rozpocznie się
dyskusja na ten temat oraz następujące elementy:
•
Zdaniem PL. nie negując uprawnienia Komisji do wydawania aktó%\ delegowanych.
ilość aktów przewidzianych projektem rozporządzenia oceniamy jako nieuzasadnioną.
PL dostrzega zasadność niektórych z zaproponowanych aktów delegowanych, jednak
naszym zdaniem powinno dążyć się do rozstrzygnięcia pewnych. możliwych na dzień
dzisiejszy do doprecyzowania. kwestii na poziomic rozporządzenia, co pozytywnie
wpłynie na przejrzystość. przewidywalność i pewność prawa. a jednocześnie pozwoli
na dokonanie rzetelnej analizy skutków proponowanej regulacji. W niektórych
przypadkach znajdujemy powody dla pozosta\%ienia odpowiednich uprawnień KE (np.
12
ocena skutków przedsięwzięcia dla ochrony danych. przenoszenie danych). w innych
przypadkach uważamy to za niedopuszczalne (np. art. 6 ust. I lit. fw połączeniu z art.
6 ust. 5. który pozwała Komisji zdefiniować ..prawnie uzasadnione interesy
administratora w szczególnych sytuacjach przetwarzania i sektorach przetwarzania
inne akty delegowane dotyczą zakresu rzeczowego m.in. tych artykułów. Zdaniem PL.
w celu zapewnienia pewności prawnej. tak istotne eternenty muszą być zawarte w
samym rozporządzeniu stosownie do postanowień art. 290 TEUE).
W sytuacjach, gdy nie uda się uniknąć wydawania aktów detegowanych przez KE. PL
zależy, aby proces ich opracow ywania był jak najbardziej transparcntny i prowadzony
w sposób. kión pozwoli uwzględnić opinie państw członkowskich.
Należ podkreślić, iż zaproponowane przez Komisje Europejska nowe ramy ochrony
dainch osobowych, które docelowo mają zastąpić obecnie obowiązujące generalne
zasady ochrony danych osobowych określone dyrektywą 9516/WE. \%ydają się w
sposob daleko idący regulować zasady przetwarzania danych w nowym środowisku
internetowym i telekomunikacyjnym (yide sieci społecznościowe. w\ korzystywanie
cookies. profilowanie, prawo do bycia zapomnianym etc.). Z drugiej jednakże strony
przepisy wydąją się nie uwzględniać wplywu. jaki tak określone obowiązki mogą
w\wrzeć na pozostałą część rynku, gdzie przetwarzanie danych osobowych w sieci
Internet nie jest podstawą prowadzenia działalności gospodarczej. Przykładowo. w
tym miejscu należy zauważyć. iż wszystkie podmioty przetwarząjące dane osobowe w
świetle brzmienia art. 18 projektu. dotyczącego prawa przenoszenia danych, będą
miały obowiązek udostępniania kopii danych podlegających przetwarzaniu w
podobnie jak techniczne standardy, sposoby i
tbrmacie etektronieznym. który
procedury będzie mógł zostać oki”eśtony przez Komisję Europejską w drodze aktu
wykonawczego. Niezależnie od powyższego. uwagę zwrócić należy na fakt, iż
wspomniany obowiązek, co do zasady. wbrew celowi projektowanej regulacji. wydąje
się nie zwiększać poziomu ochrony danych osobowych.
-
—
•
•
—
—
Dodatkowe elementy wył3cznie do wiadomości strony polskiej:
brak
SporządziŁ
Dariusz Dąbek. Departament Tetekomunikacji MAiC. teł.: 22 522 50 00
Aleksandra (hmieleeka. Departament Społeczeństwa Informacyjnego. MAiC
Akceptow ał:
Maciej Groń. Zastępca Dyrektora Departamentu
-
DYRI!KTflR
M,Nl1”ERŚF\\A ADt}i iST$ACJI1
Jr
M
lej
CYFRYZACJI
ROŃ
Zatw ierdzil:
Igor Ostrowski. Podsekretarz Stanu w MAiL
Data: 26 czerwca 2012 r.
13